Otázka auditování změn ve službě Active Directory je velmi důležitá v infrastrukturách velkých domén, ve kterých jsou práva na různé součásti správy služby Active Directory delegována na široký okruh lidí. V předchozím článku jsme obecně hovořili o existujících nastaveních skupinových zásad, která vám umožňují auditovat změny ve službě Active Directory. Dnes se podíváme na metodologii pro udržování a sledování změn provedených uživateli ve skupinách zabezpečení AD. Vyzbrojeni touto technikou může správce domény sledovat vytváření a odstraňování skupin AD, stejně uživatel přidávat / odebírat události do těchto skupin.
Ve výchozím nastavení již mají řadiče domény zásady shromažďování informací o změnách ve skupinách služby Active Directory, ale protokolovány jsou pouze úspěšné pokusy o změnu.
Pomocí zásad skupiny povolujeme vynucené protokolování všech událostí o změnách ve skupinách služby Active Directory. Chcete-li to provést, otevřete konzolu pro správu Správce zásad skupiny, vyhledejte a upravte zásadu Výchozí Doména Ovladač Zásady (ve výchozím nastavení se tato zásada vztahuje na všechny řadiče domény).
Poznámka:. Sledování událostí auditu skupin zabezpečení domény má smysl pouze u řadičů domény.
Pojďme k další části GPO: Konfigurace počítače-> Zásady-> Nastavení systému Windows-> Nastavení zabezpečení-> Rozšířená nastavení Zásady auditu-> Zásady auditu -> Správa účtů. Zajímá nás politika Správa bezpečnostních skupin.
Pojďme otevřít politiku a upravit ji, což znamená, že budou shromážděny jako úspěšné (Úspěch) a neúspěšné (Selhání) změnit události ve skupinách zabezpečení domény.
Zbývá čekat na použití upraveného GPO na řadičích domény nebo provést ruční aktualizaci GPO příkazem
gpupdate / force.
Shromážděné události auditu můžete zobrazit v protokolu zabezpečení. Pro větší přehlednost vytvoříme samostatné zobrazení protokolu událostí. Chcete-li to provést, vyberte položku v konzole Prohlížeče událostí systému Windows pomocí místní nabídky Vytvořit Vlastní Zobrazit.
V okně voleb filtrování zobrazení zadejte:
Logem - „Zabezpečení“
Zahrnuje / vylučuje ID událostí - Máme zájem o události s následujícím ID události: 4727, 4728, 4729, 4730, 4731, 4732, 4733, 4734, 4735, 4737, 4754, 4755, 4756, 4757, 4758, 4764.
Poznámka:. Shromáždili jsme všechna ID událostí odpovídající různým změnám ve skupinách zabezpečení AD. Například,
ID 4727 - událost vytvoření skupiny
ID 4728 - událost přidat uživatele do skupiny
ID 4729 - událost odebrat uživatele ze skupiny
ID 4730 - událost odstranění skupiny zabezpečení
V případě potřeby můžete filtr nakonfigurovat jemněji a ponechat pouze události zájmu.
Uložte změny a zadejte například název pohledu Auditovat změny skupiny.
Pro experiment přidejte (pomocí konzoly ADUC) uživatele JJonson do skupiny doménových administrátorů. Poté otevřeme a aktualizujeme pohled, který jsme vytvořili.
Jak vidíte, objevilo se v něm několik nových událostí..
Otevřením jakékoli události si můžete zobrazit informace o provedených změnách podrobněji. Otevřete událost pomocí EventID 4728. Ve svém obsahu je viditelný. tento uživatel dadmin přidal uživatelský účet JJonson do skupiny Network Admins
Předmět: ID zabezpečení: corp \ dadmin Název účtu: dadmin
Doména účtu: corp
Přihlašovací ID: 0x85A46579
Člen:
ID zabezpečení: corp \ JJonson
Název účtu: CN = JJonson, OU = Uživatelé, OU = Účty, DC = corp, DC = loc
Skupina:
ID zabezpečení: corp \ Network Admins
Název skupiny: Network Admins
Skupinová doména: corp
Je-li to nutné, můžete svázat nezbytná ID událostí k automatickému odesílání e-mailových oznámení správcům zabezpečení prostřednictvím spouštěčů událostí.
